電子署名を利用した電子契約の裁判上の証拠力について

 

【問題】電子署名による電子契約は、捺印入りの文書による契約書と同じ証拠力があるか。

 

【結論】電子署名による電子契約は、捺印入りの文書による契約と比べて、証拠力の観点から、一歩及ばないと考えられます。

 

最近よく耳にする「電子署名」です。

 

電子署名については、電子署名法に規定があり、次の定義付けがされています。

 

電子署名法

第2条1項 この法律において「電子署名」とは、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下同じ。)に記録することができる情報について行われる措置であって、次の要件のいずれにも該当するものをいう。
① 当該情報が当該措置を行った者の作成に係るものであることを示すためのものであること。
② 当該情報について改変が行われていないかどうかを確認することができるものであること。

 

最近増加している電子契約で使用されることがある電子署名ですが、そもそも電子署名を利用した電子契約は、従来の捺印入りの文書による契約と比べて、証拠力、特に二段の推定との関係において違いあると言われています。

しかし、具体的にどのような違いがあるのか理解できていなかったため、整理したいと思います。

 

従前の文書による契約の場合の二段の推定の構造は以下です。

 

【二段の推定(文書の場合)】

① 一段目の推定(判例)

  本人の印鑑による印影があれば、当該印影は本人の意思に基づいて押印されたものと推定する。

② 二段目の推定(民訴法228条4項)

  本人の意思に基づいて押印された印影があれば、私文書は真正に成立したものと推定する。

 

※本人の印鑑であることは印鑑登録証明書で証明します。

 

これを電子署名に置き換えて考えようとすると、おそらく以下のような構造になります。

 

【二段の推定(電磁的記録の場合)】
① 一段目の推定(判例なし)
  本人の電子署名があれば、当該電子署名は本人の意思に基づいてなされた電子署名であると推定する。
② 二段目の推定(電子署名法3条)
  本人の意思に基づいてなされた電子署名であれば、電磁的記録は真正に成立したものと推定する。

 

※本人の電子署名であることは電子証明で証明できます。

 

電子署名による電子契約の場合であっても、二段目の推定は電子署名法3条により認められます。

しかし、一段目の推定についてはまだ判例がありません。

推定を及ぼしてよいという弁護士や学者の見解はよく見かけますが、これを否定する学説もあります。

判例法理が確立されない限り、電子署名による電子契約に二段の推定は適用されるとは言い切れないでしょう。

したがって、電子署名による電子契約は、捺印入りの文書による契約と比べて、証拠力の観点から、一歩及ばないといえそうです。

 

捺印入りの文書について一段目の推定を認める判例の考え方の背景には、「判子は、通常、第三者が勝手に押印できないように大切に保管されている。」という経験則があります。

電子署名の管理が徹底されているという社会的事実が経験則のレベルにまで達すれば、いつか上記と同じような経験則が電子署名にも及び、電子署名についても一段目の推定が及ぶ日が来るだろうと思います。

 

会社に法的に求められる個人情報の漏洩対策レベル

 

【問題】個人情報の漏洩防止について、裁判所は会社にどの程度の対応を求めているのか。

 

【結論】会社は、個人情報の漏洩対策として、各省庁の対策基準及びガイドライン等、JISQ並びにIPAのガイドラインに規定されている対策事項に沿った対応をする必要があると考えられる。

 

1.はじめに

 

個人情報の漏洩防止について、裁判所は会社にどの程度の対応を求めているのか。

この点について、ベ社の個人情報漏洩事件の差戻審を検討する。

 

2.事案の概要

 

ベ社が管理していた顧客の個人情報が、ベ社から委託を受けて個人情報を分析するシステムの開発をしていたA社の従業員Bにより外部に持ち出されて漏洩したという事案である。

Bは、ベ社のサーバコンピュータにA社から貸与された業務用PCからアクセするためのID及びパスワードを付与されていた。

Bは、A社事業所内の執務室において、2度にわたり、業務用PCを操作して、ベ社のサーバコンピュータにアクセスし、約2989万件の受講者の個人情報のデータをダウンロードして業務用PCに保存し、これとUSBケーブルで接続した自己のスマホ(Android4.1。MTP(Media Transfer Protocol)対応)の内蔵メモリとマイクロSDカードにコピーするという手段で個人情報を持ち出した。

A社が導入していた書出し制御措置は、漏洩当時、MTP対応スマホに対しては有効に書出しを制御できていなかった。

A社の不法行為責任及び使用者責任ベ社の使用者責任の有無が問題となった。

 

3.裁判所の判断

 

(1)A社の過失

 

裁判所は、A社の過失を認めた。

理由の一部を見てみると、各省庁の対策基準及びガイドライン等、JISQ並びにIPAのガイドラインに規定されている対策事項を根拠に、MTP対応スマホを利用した個人情報の不正取得に対する予見可能性を肯定していることが分かる。

そして、MTP対応スマホを利用した個人情報の不正取得を予見することが可能であったのであるから、スマートフォンの持込み禁止の措置を採るべきであったとして、A社の過失を認めた。

 

ア 予見可能性

 

「ア(ア) 証拠(甲7,8,16,19,21)によれば,①安全対策基準(旧通商産業省の平成9年のもの)は,情報システムの利用者が実施する対策項目を列挙し,「情報等の運用に関連する各室の搬出入物は,必要な物に限定するとともに,その内容を確認し,記録をとること」と記載されていたこと,②平成18年のJISQ15001及び平成22年のマネジメントシステム実施ガイドラインにおいては,「事業者は,その取り扱う個人情報のリスクに応じて,漏えい,滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定し,その対策として,個人情報の取得・入力及び利用・加工の各場面において,外部記録媒体を接続できないようにすることが掲げられていたこと,③平成21年の経済産業分野ガイドラインには,「個人データを入力できる端末に付与する機能の業務上の必要性に基づく限定(例えば,個人データを入力できる端末では,CD-R,USBメモリ等の外部記録媒体を接続できないようにする。)」が望ましいと規定されていたこと,④平成25年の内部不正防止ガイドラインにおいては,「重要情報を取り扱う業務フロア内の領域に個人の情報機器及び記録媒体を持ち込まれると,個人の情報機器や記録媒体に重要情報を格納して持ち出される恐れがあること」がリスクとして具体的に指摘されており,その対策として,重要情報の格納サーバやアクセス管理サーバ等が設置されているサーバルームでは,個人所有のノートPCやタブレット端末,スマートフォン等のモバイル機器の持込み・利用を厳しく制限すること,個人所有のUSBメモリ等の携帯可能な記録媒体等の持込みを制限し,記録媒体等の利用は会社貸与品のみとすること,重要情報を扱う物理的区画内の行動についてはカメラ等で監視するとともに監視している旨を伝えることが記載されていたこと,⑤平成25年のデータセンターセキュリティガイドブックにおいては,データセンターにおけるUSBメモリ等の情報記録媒体や携帯電話の持込み・持ち出し制限及び画像監視システムがセキュリティ対策として挙げられていたことが認められ,これらによれば,本件漏えい以前から,外部記録媒体をパソコン等に接続する方法による情報漏えいのリスクが指摘されていたことが認められる。」

(大阪高判R1.11.20【一部抜粋】)

 

イ 結果回避義務

 

「ア スマートフォンの持込み禁止
(ア) 前記(1)で認定したとおり,株式会社Aは,本件漏えい当時,委託先の従業員が私物のMTS対応スマートフォンを株式会社A多摩事業所の執務室内に持ち込み,業務用PCのUSBポートに接続することによって本件個人情報を含む大量の個人情報を取得するリスクがあることを予見しえたと認められるところ,株式会社A多摩事業所の執務室内における私物のスマートフォンの持込み制限措置を採ることは,株式会社Aにとって,コストも手間もかからない最も容易かつ効果の大きい不正防止対策であったと認められ,株式会社Aが,Bが執務していた執務室内に,同人の私物のスマートフォン(本件スマートフォン)を持ち込むことを禁止する措置を採ってさえいれば,本件漏えいを回避することができたといえる。
そうすると,株式会社Aは,本件漏えい当時,被控訴人から業務上の必要によって利用することを許されていた本件個人情報を含む大量の個人情報について,業務委託先の従業員に業務用PCを利用してアクセスすることを認めていたところ,これらの従業員が業務用PCに個人所有のスマートフォンを接続することを容認していたというのであるから,業務委託先の従業員がMTP対応スマートフォンを執務室内に持ち込んで,上記個人情報に接することのないように適切な措置を採るべき注意義務を負っていたというべきであり,これを怠ったことについて過失があるというべきである。」

(大阪高判R1.11.20【一部抜粋】)

 

(2)ベネッセ社の過失

 

裁判所はベネッセ社の過失も認めた。

予見可能性については、A社の場合と同様の理由で肯定した。

結果回避義務については、業務委託者であるベ社に、委託先選任及び監督にかかる注意義務違反があったという視点からこれを認めた。

 

「そして,以上によれば,大量の個人情報の運用管理を株式会社Aに委託していた被控訴人には,本件漏えい当時,個人情報の管理について,委託先に対する適切な指導監督をすべき注意義務があったところ,前記(1)記載のとおり,被控訴人は,本件漏えい当時,本件漏えいの方法による個人情報の漏えいの危険性を予見し得たにもかかわらず,株式会社Aに対し,本件セキュリティソフトがMTP対応スマートフォンに対する書出し制御機能等を備えているか否か,株式会社Aの業務委託先の従業員が,被控訴人が管理する個人情報にアクセスすることができる業務用PCのUSBポートに個人の所有するスマートフォンを接続できる状況にあったかどうかについて適切に報告を求めていなかったもので,これらについて適切に指導監督を行っていれば,MTP対応スマートフォンに対する書出し制御機能に対応したセキュリティソフトへの変更を指示するか,あるいは,本件セキュリティソフトのままであっても,MTP対応スマートフォン(WPDデバイス)に対する使用制御措置を採るように指示することができたものであり,それが困難であったとしても,株式会社Aに対し,業務委託先の従業員が本件個人情報を含む大量の個人情報に接することができる執務室内に,個人のスマートフォンを持ち込むことを禁止するよう指示することができたというべきで,このような指導監督を行うことについて,被控訴人に過度の負担が生じるということはなかったと認められる。

そうすると,被控訴人には,本件漏えい当時,株式会社Aにおける被控訴人の有する個人情報の管理につき,セキュリティソフトの変更やWPDデバイスの使用制御措置の設定変更,執務室内への個人スマートフォンの持込み禁止について適切に監督をすべき注意義務があったというべきであり,それにもかかわらず,被控訴人は,本件漏えい当時,これらについて指示することなく放置していた結果,本件漏えいを回避することができなかったのであるから,上記注意義務に違反したといわざるを得ない。なお,経済産業大臣作成の平成26年9月26日付け「個人情報の保護に関する法律第34条第1項の規定に基づく勧告について」と題する書面においても,被控訴人が,株式会社Aに対して行う定期的な監査において,当該情報システムの対象範囲を監査の対象としていなかった等,委託先に対する必要かつ適切な監視を怠っていたことが同法22条に反すると指摘されている(甲24の2)。」

(大阪高判R1.11.20【一部抜粋】)

 

4.まとめ

情報漏洩対策としてどの程度のことまで行うべきであるかという議論はあるものの、会社の過失の有無を判断するにあたり、裁判所が各省庁の対策基準及びガイドライン等、JISQ並びにIPAのガイドラインを一つの拠り所にしていることは明らかである。

裁判官は情報セキュリティの専門家ではないため、専門家により作成されたこれらの資料に頼らざるを得ないのだろうと思われる。

個人情報の漏洩対策としては、少なくとも、これらの資料の内容に沿った対応を採る必要があると考えられる。